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摘 要 : 基于 属性 的 加 密 算 法 拥有 灵活 、 细 粒度 、 安 全 性 高 等 特点 ， 为 减少 属性 基 加 密 算 法 占用 的 资源 ， 在 安全 数 
据 访 问 控制 的 属性 基 加 密 算 法 的 基础 上 提出 了 一 种 改进 的 属性 基 外 包 加 密 算 法 。 改 进 算法 将 加 密 算 法 中 的 复杂 双 线 
性 对 计算 外 包 给 雾 节点 以 减少 用 户 的 计算 开销 ; 同时 通过 简化 系统 参数 ， 减 少 属性 中 心 为 属性 生成 的 随机 因子 以 缩 
短 密 文 和 密 钥 长 度 ， 降 低 了 用 户 和 雾 节点 的 存储 和 通信 开销 。 同 时 对 提出 的 改进 算法 进行 了 安全 性 证 明 ， 证 明了 该 
改进 算法 是 安全 的 。 
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Light weight attribute-based encryption outsourced algorithm for fog computing 
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Xidian University, Xian 710000, China; 3. Dept. of Theoretical Training, People's Liberation Army Air Force Harbin Flight 
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Abstract: Attribute-based encryption algorithm has the characteristics as flexibility, fine-grained and high security. This 
paper introduces an improved attribute-based outsourced encryption algorithm based on secure data access control 
attribute-based encryption, to reduce the resources consumed by computation, which outsources the complex bilinear 
pairings in the encryption computing to the fog node to reduce the user's computation overhead. By simplifying the system 
parameters, we reduce the random number generated by attribute authority for every attribute to shorten the length of 
ciphertext and the key, as well as the storage cost of the system. And the security proof of the scheme is given in the last part 
of this paper. 
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0 als 更 新 的 前 后 向 安全 性 都 是 目前 急需 解决 的 困难 的 问题 。 属 性 
基 加 密 方案 最 先 在 文献 [4] 中 提出 。 为 了 克服 该 方案 中 访问 不 
云 计 算是 一 种 基于 共享 建立 的 新 计算 模式 ， 用 户 将 需要 ”灵活 的 缺点 ， 文献 [5] 中 提出 了 密 文 策 略 的 加 密 方案 ,将 属性 
托管 和 分 析 的 数据 传输 到 云 平 台 进 行 管理 帆 。 而 筋 计算 作为 关联 于 密 文 ， 接 收 方 根据 密 文 规定 的 属性 集 判 断 自己 能 否 进 
对 云 计算 的 拓展 ， 将 计算 迁移 到 靠近 用 户 端 的 雾 计算 节点 ， 行 解 密 。 基 于 属性 的 签名 (ABS) 方 案外 可 以 实现 认证 功能 , 但 
有 效 节省 了 云 平 台 的 网 络 开销 ， 避 免 了 云 平 台 的 网 络 性 能 瓶 。 是 不 能 实现 安全 通信 。 文 献 [7] 在 标准 模型 下 证 明了 文献 [6] 
颈 症 。 但 是 这 样 会 带 来 雾 计算 设备 管理 问题 ， 雾 计算 节点 由 中 签名 算法 的 安全 性 ， 但 是 不 能 应 用 于 雾 计算 加 解密 外 包 的 
于 部 署 在 云 平台 的 远 端 缺乏 持续 有 效 的 管理 , 极 易 受 到 攻击 ; 不 境 。 文 献 [8] 改 进 了 签名 算法 使 其 可 以 运用 于 加 解密 外 包 环 
用 户 设 备 与 雾 节点 之 间 缺 乏 有 效 的 信任 机 制 ， 此 外 雾 节点 还 AF, 但 是 不 能 保证 数据 的 安全 性 。 文 献 [9] 提 出 了 一 种 由 分 
要 接受 来 自 多 种 异 构 设备 的 访问 ， 大 量 的 用 户 设 备 接 入 网 络 。” 层 的 身份 基 加 密 方案 演变 而 来 的 属性 基 加 密 方案 ， 方 案 中 使 
使 得 用 户 管理 变 得 异常 困难 1。 用 了 混合 双 系 统 加 密 ， 方 案 的 灵活 性 大 大 加 强 ， 用 户 可 以 指 
密 文 策略 的 属性 基 加 密 方 案 (ciphertext-policy attribute- ，” 定 任 意 深 度 的 访问 策略 ， 但 是 方案 涉及 多 个 乘法 群 上 的 双 线 
based encryption) 通 过 对 密 文 标定 属性 ， 规 定 访问 者 的 访问 策 。 性 变换 ， 计 算 量 过 大 。 文 献 [10] 提 出 了 一 种 属性 与 角色 混合 
略 ， 实 现 用 户 对 数据 的 细 粒 度 访 问 。 虽 然 这 种 方案 克服 了 用 MARIE, HEA 的 特点 ， 但 是 安全 性 有 所 
户 访问 过 程 中 的 粒度 控制 问题 ， 但 同时 也 带 来 了 属性 管理 的 下 降 。 文 献 [11] 提 出 了 一 种 带 有 属性 更 新 功能 的 外 包 加 密 方 
问题 。 密 钥 生 成 中 心 根据 用 户 的 属性 集 生成 相应 的 私 钥 , 但 。 案 。 文 献 [12] 提 出 ] 性 基 加 密 方 案 ， 通 过 减少 
如 何 隐 藏 私 钥 中 带 有 用 户 属性 集 的 特征 ， 保 证 属性 集 信息 不 乘法 循环 群 上 的 计算 次 数 来 减少 用 户 的 计算 开销 ， 同 时 能 
被 泄露 是 一 个 问题 。 此 外 当 用 户 更 新 、 添 加 或 是 撤销 属性 时 ， 按照 用 户 属 性 集 的 变化 进行 密 文 更 新 。 文 献 [13] 提 出 一 种 安 
密 钥 生 成 中 心 需要 根据 新 的 属性 集 更 新 密 钥 。 如 何 保 证 改变 全 性 更 高 的 属性 基 加 密 方案 ， 但 是 由 于 该 方案 为 多 认证 中 心 
的 属性 不 被 暴露 ， 撤 销 的 属性 被 彻底 销毁 以 及 如 何 保证 密 钥 。” 方案 ， 认 证 交互 次 数 过 多 ， 不 适合 雾 计算 环境 。 文 献 [14] 提 
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出 了 一 种 适用 于 筋 计 算 环境 的 加 密 方案 ， 但 由 于 该 方案 使 用 
多 认证 中 心 ， 使 得 用 户 的 通信 开销 过 大 ， 因 此 不 适宜 运用 在 
移动 设备 上 。 
本 文 主要 工作 为 设计 一 种 改进 的 适用 于 雾 计 算 的 属性 基 
加 密 算法 ， 简 化 系统 参数 ， 减 少 属性 中 心 为 属性 生成 的 随机 
Al FWA ei Fad BE SC IR BE, RI HAME BS id 
通信 开销 。 同 时 利用 标准 模型 对 提出 的 改进 算法 进行 了 安全 
性 证 明 ， 证 明了 该 改进 算法 是 安全 的 。 


1 ”技术 基础 


a) 双 线 性 变换 [9 为 一 种 在 乘法 群 上 的 映射 。 设 有 一 大 
素数 9， 定 义 G 和 G 为 两 个 阶 为 4 的 乘法 循环 群 ， 运行 在 群 
Go E HJER] e: Go xG, > G, 满足 以 下 三 种 性 质 时 被 称 做 双 线 性 
映射 

(a) 双 线性 。 对 于 任意 的 群 6, 上 的 元 素 8,p,reG 和 
a,b eZ, HAR elg“, p’)=e(g, p)” 和 e(gp,7)=e(g,7)e(p,7) o 

(b) 非 退化 性 。 当 8 是 6G, 时 ，elg,g) EG 的 单位 元 ， 且 
不 把 Go 的 所 有 元 素 对 都 映射 到 G, 的 单位 元 。 

(c) 可 计算 性 。 对 于 任意 8,peG 都 有 有 效 的 算法 计算 
e(g,p) 。 

b) 判 定性 双 线 性 问题 (DBDH) 。 假 设 存在 1 阶 循环 群 cv 
和 和 群 上 的 元 素 以 及 运行 在 群 上 的 双 线 性 变换 e， 随 机 选 定 
整数 abceZ。， 给 定 两 个 元 组 opp peop" 和 
(PP k) HEP k ÆR ep p” 同 分 布 的 随机 比特 串 ， 区 分 
两 个 元 组 中 哪 一 个 是 随机 元 组 。 
2 ”安全 模型 

本 文采 用 标准 模型 证 明 加 密 方 案 的 安全 性 。 模 型 中 假设 
云 平 台 是 安全 的 ， 利 用 挑战 者 和 攻击 者 之 间 的 博弈 游戏 描述 
模型 ， 具 体 过 程 如 下 : 

系统 初始 化 ， 向 系统 5s 输入 公共 参数 params , 

查询 阶段 1: 攻击 者 4 可 以 向 系统 提出 任意 属性 集 ， 系 
统 运 行 KeyGen 算法 生成 相应 的 私 钥 SK 并 返回 给 攻击 者 。 

挑战 阶段 : 攻击 者 向 系统 提供 两 个 等 长 的 明文 mm 和 m， 
并 向 系统 提出 一 个 访问 结构 7， 该 结构 不 能 在 查询 阶段 1 被 
查询 过 且 不 能 是 询问 阶段 任何 结构 的 子 树 。 系 统 随机 选取 一 
个 比特 5e{0,1}， 并 生成 结构 的 私 钥 ， 对 明文 mw 进行 加 密 
得 到 密 文 C, 并 返回 给 攻击 者 。 

查询 阶段 2: 攻击 者 继续 向 系统 提出 询问 ， 该 阶段 不 能 
进行 对 结构 T, AUDA T, 为 子 树 的 询问 。 系 统 继续 向 攻击 者 提供 
查询 信息 。 

猜测 阶段 : 攻击 者 根据 查询 结果 猜测 挑战 阶段 获得 的 密 
文 是 m 和 m 中 哪 一 个 的 密 文 ， 攻 击 者 输出 相应 的 比特 
b'e{0,}， 攻 击 者 的 优势 定义 为 Adv =|Pr[b=5']-1/2I 。 


3 ”加 密 方案 设计 
3.1 系统 简介 


如 图 1 所 示 。 本 系统 包含 四 个 部 分 ， BAKA. BAR, 
数据 拥有 者 和 其 他 访问 用 户 。 云 平台 负责 生成 系统 参数 ， 决 


H 


lay 


A, AREMA, BUR ESET ETT Sb RS V 
用 户 在 收 到 雾 节 点 的 部 分 解密 密 文 后 进行 用 户 解密 ， 得 到 明 
文 。 
3.2 设计 思想 
为 简化 加 密 的 复杂 度 并 节省 开销 ， 可 以 将 加 解密 计算 外 
包 给 加 雾 节 点 。 在 保证 安全 性 的 前 提 下 ， 为 进一步 简化 外 包 
给 雾 节 点 的 加 密 解 过 程 ， 通 过 减少 雾 节点 加 入 到 部 分 密 文中 
的 随机 因子 ， 可 以 将 原 有 密 文 长 度 缩短 一 半 。 同 时 由 雾 节 点 
指定 部 分 密 文中 的 秘密 分 量 ， 保 证 了 前 向 安全 性 。 


User j 


DataOwner 
图 1 系统 架构 图 
Fig. 1 System architecture diagram 


加 密 方案 的 设计 流程 如 下 : 

a) SysSeup(k): 属性 中 心 输 入 安全 参数 k， 产 生 系统 参数 
params 。 算 法 生成 4 阶乘 法 群 G 和 G， 其 中 4 为 一 个 大 素数 ， 
同时 生成 双 线 性 映射 e:CuxG >G, PINGS Ax PRA H {0,1} * > Gy 。 
属性 中 心 选取 随机 数 &,8e2Z,， 计 算 云 平台 公 钥 PK,=g”， 云 
平台 主 密 钥 为 MK,=a 。 系统 参数 为 
params=(g,h,g",e,e(h,g),H) 。 

b) AttrSetup ( params, A); 属性 中 心 获 取 系 统 参数 后 为 每 一 
个 属性 生成 密 钥 分 量 ， 其 中 4 NBER. Bita tA NDE 
性 ， 则 4 RIDA RANA (att, attr,,...,attry} ， 其 中 的 a; 为 某 一 属 
性 ， 将 所 有 属性 看 做 是 互 不 相同 的 比特 串 ， 对 于 所 有 属性 计 
WA =H(attr) , 4 =H (atte)... dy =H (atr) HH, D=, 
Dy = Aq" o Dy = 0 

c) KeyGen( params, A) ; 属性 中 心 输入 菜 一 用 户 U, 的 属性 
A 和 系统 参数 params ， 生 成 对 应 的 密 钥 。 假 设 属性 集 A 
{La:U…:Ua} ， 其 中 Ua, 为 用 户 拥有 的 属性 。 属 性 中 心 为 
户 选 取 唯 一 的 随机 数 wsZ ， 计 算 用 户 密 钥 SK = 9" FY 


密 钥 SK'=(g°h’,g°.Cy=PK".C,=D,"} ica, 。 


a at # 


d) FogEnerypr(SK'T,) + 雾 节点 收 到 加 密 外 包 密 钼 SK' 和 用 
户 的 属性 策略 五 后 选取 随机 数 mez 。 雾 节点 将 m VEJAN 
秘密 数 ， 根 据 用 户 的 属性 策略 利用 门 线 分 割 方法 计算 "分 害 


后 的 分 量 {y,(0).¥, (0), y, (O} it F 
CT' ={8*0D,, gD,,..., gD, } 和 fe go" nn x 
e) UserEncrypt(C,.CT'.T) : 用 户 获得 C, ，CT' 和 7 之 后 进行 


定 系统 的 安全 等 级 、 承 担 属性 中 心 的 工作 ， 同 时 还 要 调度 雾 
计算 节点 的 资源 以 及 处 理 用 户 的 接 入 认证 请 求 ， 生 成 用 户 的 
密 钥 。 雾 节点 负责 与 用 户 进行 通信 ， 传 递 用 户 的 认证 信息 ， 
代替 用 户 完 成 数据 的 加 密 外 包工 作 ， 确 保 数据 只 能 被 符合 
定 属性 要 求 的 用 户 进行 解密 。 数 据 拥有 者 利用 自己 的 私 钥 对 
j 户 加 密 ， 确 保密 文 不 会 被 非法 用 户 解密 。 当 访问 
用 户 提出 数据 访问 请 求 时 ， 首 先 检 查 密 文 是 否 可 以 被 正确 解 


用 户 加 密 , 选取 随 机 数 *D2K<s2 ,计算 页 =8 g", T= hh”, 


8 和 DK.e(g,g)”， 利 用 DK 对 明文 进行 对 称 加 密 。 密 文 为 


CT ={T,,T,,8',DK-e(g,8)" ,CT'SEvx (M)} 。 


f) FogDecrypt : 雾 节点 2 接收 到 CT 后 进行 外 包 解 密 。 雾 节 
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Wo, #: 


点 2 利用 用 户 的 外 包 密 钥 5K ={ 9°", 8°,C) = PK®.C, =D) tt 


算 


五 = 


从 访问 结构 的 叶子 节点 7 


F 


该 系统 ， 那 么 就 存在 一 个 算法 8 可 以 调用 .4 来 解决 DBDH 
问题 。 假 设 系统 一 共有 三 个 
系统 生成 9 阶 群 GG 和 双 线 性 映射 
成 元 8,heG, 和 随机 数 &e2 以 及 属性 
NAE, HPN, 


初始 化 : 


e:GoxG >G, ARA 


集 A={attr,,attn,..., 


D,=H (attr), D, =H (attr, ,D,=H(attr,) 。 挑 战 者 8 选 定 自 


e(g”D,.C, ') 
!  e(PK,C,') 


Oaw 


=e(g,8)" 


= JI tec)" 


xechildren 


= Il efg, gor 


xechildren 


下 始 计算 父 节 点 的 值 : 


(1) 


(2) 
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依 此 类 推 可 以 还 原 出 e(g,g)” 。 同 时 计算 


g) UserDecrypt : 


e( gh’, gun) 


aed m+t) 
—_—__.— elg, 
efg hr") (8-8) 
eee _ e(g.g)" 
elgg)” 


IP HENARE 
_DK-e(g,g8)" -e(g,8)" 

DK = 1 _a(p+0) 

e(8 8 ) 


最 后 解密 密 文 Dec (DK, SE, (M)) 得 到 明文 。 


= e(g, gpr 
” 7 it I = 
以 上 加 解密 过 程 如 图 2 和 3 所 示 。 
Attribute Authority Fog 1 DataOwner 
SysSetup(k)= params =(g.hl g*.e.e(h.g)H» PKc =g") 
{A, = H(atty,), A, = H(dittr,),....Ay = Hattry )} 
{DB =45. D, = Dy = Ay} 
KeyGen\ params, 4,)= {SK = g“?*°) SK'= {g®h* ,g Cy = PK®.C, = D,” ea } 
SK! 54 
SK 
w) 
CT'= fg% ÒD, sn0D 87D, } 
= gom pom 
pagn Cr. 

| 

Th=gh.g* 

元 =p he 

DK. dìg. gy” 

CT = {R,T g', DK -elg SR or, sen} 


le. 
CT ={f,.T,.g'.DK -e(g|g)".CT'.SEp,(M)} 


安全 性 证 明 


假设 有 一 个 攻 了 


attry } 


fF 者 4 能够 以 不 可 忽略 的 优势 来 攻破 


1 1 
图 2 加密 过 程 交 互 示 意图 


Fig.2 Schematic diagram of encryption process 


Fog 2 
| 


DataOwner 


DK: p 


| 

| 

| 
CT | 
>j 
eg’ O d) 


F,= =e(g, 
1 PK.C,') sais 
F= TI lele, gyl eey (0) 


xechildren | 
= Tlele. gz y i fe 


xechildren 
yrr Oal 
=eļg.g)" 


ele’. eg”) 


el a Aer) 


der] _ oe ey 


e(g.g)" 


y (0jaw 


aa m+ ) 


=e(g,g) 


e(g.g)" 


User 


图 3 解密 过 程 交 互 示意 图 


Fig.3 Schematic diagram of decryption process 


DK = 


> 


_ DK -eg.¢)* -e(g.g)* 
e{lgi g") 
Dec(DK, SEp;(M)) 
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(3) 


(4) 


(5) 


己 要 解决 的 DBDH 问题 (4=g",B=g”,C=g“,D=g”) ,同时 从 A 


属性 结构 。 


tt 


结构 的 属性 集 为 


wW 


ih 


情况 1 


i 


中 选取 子 集 作 为 Corrupted 属性 集 A, ={a,o2…av}， 其 中 为 
某 一 属性 ， 4 PAu Ste. PRA HB =H) , 
B, =H(a,)", By =H ay)" o 


询问 阶段 1: 攻击 者 4 向 挑战 者 5 询问 一 个 属性 结构 ， 


A, ={attr,,attr,,...,attr,} 。 挑 战 者 建立 一 张 表 


Table 记录 属性 结构 以 及 相应 的 私 钥 SK ， 该 表 对 B 
透明 的 ， 可 以 随时 查询 该 表 。 挑 战 者 根据 攻 玫 
容 分 情况 进行 处 理 : 
如 果 AOA = 各， 挑战 者 选取 随机 数 wss2, ， 


H 
是 完全 


者 的 询问 内 


录用 定稿 曾 萍 ， 等 : 一 种 轻 量 级 的 雾 计算 属性 


计算 密 钥 SK=g“%% Fil SK'={8°h", 8°C, = PR®.C,=D)"} a 


钥 发 送 给 攻击 者 。 挑 战 者 输出 随机 比特 be{0,D 并 停止 攻击 。 
情况 2 WR AOA 4S FA, cA, , PEA PERL MEN AL 
0,£ €Z, ’ it 算 密 $H SK =g ONPE) 和 


SK'={g°h", °C, =PK®.C, =D,"} ws ， 将 密 钥 发 送 给 攻击 者 。 挑 


战 者 输出 随机 比特 2s{041 并 停止 攻击 。 
情况 3 ”如果 入 = 入 ， 挑 战 者 选取 随机 数 w%ssZ, ， 计 算 


we SKg, =g” A {GB a ， 外 包 密 钥 为 


SK'= [ghg GAC}... | 将 密 钥 发 送 给 攻击 者 ， 同 时 将 SK ， 
SK' AIT, WARP. 


假设 该 阶段 进行 了 der 次 询问 。 
挑战 阶段 :攻击 者 生成 两 个 等 长 明文 m 和 m 以 及 想 挑 
战 的 属性 结构 给 挑战 者 。 挑 战 者 计算 
D,= 4", D, =A" yee, Dy = Ay" 同时 为 选取 随机 数 0E € Z, , 生 


成 密 钥 SK = g Ail SK'={g°h", 8°C, = PK®.C,=D,"} 。 挑 战 者 


选取 随机 比特 ve{0. ， 用 该 密 钥 加 密 明文 ms。 将 常数 如 作为 
秘密 分 割 数 得 到 0.0.20 (0 HSE T= 和 


T=), BIELIE CT ={8""D, gD, 8”"D,)} o 


E tse 完全 密 文 为 CT={1,7,8',DKe(g8,8)* ,CT',SEp(M)} K 


efg”, g) oth es 
a gary AS :8 (6) 
e(g ,1 ) ( ) 
Froot = ce (0) 
xechildre 
> IT a(g, g) AA Ana 
xechildren (7) 
= efg, g)” ,De Amt sO) 


209 Root 


=e(g,8) 
H e(g,g)™ =e(g,8)”， 所 以 DK-e(¢,2)” 是 有 效 密 文 。 


询问 阶段 2: 攻击 者 继续 选取 询问 结构 向 挑战 者 进行 询 
问 ， 挑 战 者 查 表 ， 询 问 的 结构 不 能 是 表 中 任 一 结构 的 子 树 ， 
假设 该 阶段 询问 了 ge 次 。 
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5 ”性 能 比较 


将 本 文 的 方案 与 文献 [11，12] 的 方案 进行 比较 ， 比 较 的 
标准 分 为 时 间 和 空间 两 个 指标 。 首 先 对 所 有 方案 进行 时 间 指 
标的 分 析 , 为 隐藏 用 户 的 属性 信息 需要 对 每 个 属性 进行 隐藏 ， 
相应 地 需要 对 每 个 属性 进行 双 线性 变换 ， 本 文 的 方案 与 文献 
[12] 在 解密 时 计算 量 相 近 。 由 于 运用 了 外 包 加 密 算法 ， 大 部 


分 的 加 解密 计算 不 需要 用 户 来 完成 。 
表 1 加 密 计算 量 比较 
Table 1 Comparison of cost of encrytion 
scheme outsourcing encrypt encrypt of user 


Scheme in [11] (|S|+2)C 5C+2Cr 
Scheme in [12] (2|S|+2)C 2C+2Cr 
本 文 方案 (|S|+2)C 3C+2Cr 


Fe 2 解密 计算 量 比较 


Table 2 Comparison of cost of decrytion 


scheme 


Scheme in [11] 


outsourcing decrypt 
(2|S|+2)E+(Tat2)Cr 
Scheme in [12] (2|S|+2)E+(Tat1)Cr 
AS MTT (2|S|+2)E+(Tat+2)Cr 
文献 [12] 的 方案 中 的 密 钥 长 度 为 属性 数 的 两 倍 ， 
算法 中 需要 为 每 个 属性 计算 单独 的 双 线 性 变换 ， 变 换 中 上 
个 因子 都 不 一 样 ， 所 以 该 方案 中 的 密 钥 和 密 文 长 度 都 随 着 
性 的 增加 而 呈现 两 倍 的 增长 。 本 文 方案 的 双 线 性 变换 会 
一 个 因子 ， 所 以 可 以 节省 一 半 的 存储 孔 家 。 表 中 的 $ 为 用 
WEER, SIERS 内 元 素 个 数 。|g| 是 集合 Go 中 的 生成 元 g 
的 长 度 ，|gz| 是 集合 Gr 的 生成 元 的 长 度 。C 和 Cr 分 别 表示 和 群 
Go 和 Gi 上 的 计算 ，E 表示 双 线 性 变换 计算 。 可 以 看 出 在 保 
持 计算 量 和 安全 性 不 变 的 基础 上 大 大 缩短 了 密 文 和 密 钥 的 长 
度 ， 使 密 文 和 密 钥 缩 短 到 原来 的 一 半 。 
表 3 存储 开销 比较 


Table 3 Comparison of storage 


decrypt of user 
(2|S|+1)E+2|S|Cr 
E+2Cr 


pm 
rea 


pA 
T 4k MHs 


scheme length of plaintext length of key 
Scheme in [11] (3|S|+1)|gl+lgr| (\S|+2)|g 
Scheme in [12] (2|S|+3)|g|+|g7| (2|S|+3)|g| 
本 文 方案 (|+3)lgl+lg| (|S|+3)lg 
6 ”结束 语 
本 文通 过 对 现 有 的 密 文 策略 属性 加 密 方案 进行 改进 ， 简 


猜测 阶段 :攻击 者 根据 查询 的 结果 猜测 密 文 对 应 于 哪 

个 明文 ， 输 出 比特 b'e{0,1} 。 
证 明 : 要 使 攻击 者 能 够 顺利 进行 攻击 就 需要 攻击 者 能 
正确 地 进行 询问 ， 询 问 阶 段 1 的 属性 必须 包含 于 属性 集 A, 。 
系统 共有 NN 个 属性 , 而 挑战 者 掌握 的 已 Corrupted 的 属性 有 M 
个 , 挑战 者 可 以 利用 这 些 属性 将 DBDH 问题 嵌入 到 这 些 属 性 
中 ,前 提 是 攻击 者 提出 的 属性 不 能 超出 4, 。 从 NN 个 属性 中 任 
意 选 取 属 性 共有 2* 种 选择 ， 正 确 的 情 况 有 2 种 。 所 有 询问 
都 正确 的 概率 是 Ma), K Jy [Pr[b=b']-1/2|=¢ ， 所 以 : 

Pr| f(g",8’,8°,e(g,8)" )-f(8".8".8°.K) #0] 

> Pr[3A,: A, - 4, #2] x1/2+Pr[VA,: A, c 4]x(1/2-2) 

= (1-2 Naet) ) 172 + 2M Nanta (1/2 — 2) (8) 

=1/2= DMN)(gertgr2) /2+ MTN)(gertqe2) /2- 2UU-N)(ger+qea) y E 


=1/2- QM NY arite) xE 


其中 < 不 大 于 12， 所 以 B 的 优势 不 大 于 HMen, YE 


ul 


45 
g 


化 了 数据 拥有 者 外 包 私 钥 的 生成 过 程 ， 减 少 了 属性 中 心 生成 
的 属性 分 量 的 个 数 ， 从 而 缩短 了 密 文 和 密 钥 长 度 ， 节 省 了 加 
解密 的 存储 和 计算 开销 ， 在 此 基础 上 保证 了 系统 的 安全 性 不 
变 。 本 文 基于 DBDH 问题 在 标准 模型 下 证 明了 该 方案 的 安全 
性 ， 通 过 性 能 分 析 和 安全 性 证 明 表 明了 本 文 所 提 方 案 不 但 具 
有 较 高 的 效率 还 有 较 好 的 安全 性 。 
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